Αποκομμένα δεδομένα 2,6 εκατομμυρίων χρηστών του Duolingo που κυκλοφόρησαν στο φόρουμ hacking
Τα αποκομμένα δεδομένα 2,6 εκατομμυρίων χρηστών του DuoLingo διέρρευσαν σε φόρουμ πειρατείας, επιτρέποντας στους παράγοντες απειλών να διεξάγουν στοχευμένες επιθέσεις phishing χρησιμοποιώντας
τι
ς εκτεθειμένες πληροφορίες.
Το Duolingo είναι ένας από τους μεγαλύτερους ιστότοπους εκ
μάθηση
ς γλωσσών στον κόσμο, με πάνω από 74 εκατομμύρια μηνιαίους χρήστες παγκοσμίως.
Τον Ιανουάριο του
2023
, κάποιος πουλούσε τα αποκομμένα δεδομένα 2,6 εκατομμυρίων χρηστών του DuoLingo στο φόρουμ
hacking
Breached που έχει κλείσει πλέον για 1.500 $.
Αυτά τα δεδομένα περιλαμβάνουν ένα μείγμα δημόσιας σύνδεσης και πραγματικών ονομάτων, καθώς και μη δημόσιες πληροφορίες, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των εσωτερικών πληροφοριών που σχετίζονται με την υπηρεσία DuoLingo.
Ενώ το πραγματικό όνομα και το όνομα σύνδεσης είναι δημόσια διαθέσιμα ως μέρος του προφίλ του χρήστη Duolingo, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι πιο ανησυχητικές καθώς επιτρέπουν τη χρήση αυτών των δημόσιων δεδομένων σε επιθέσεις.
Αποξεσμένα δεδομένα Duolingo προς πώληση σε φόρουμ hacking
Πηγή:
Falcon Feeds
Όταν τα δεδομένα ήταν προς πώληση, το DuoLingo το επιβεβαίωσε
TheRecord
ότι αφαιρέθηκε από πληροφορίες του δημόσιου προφίλ και ότι διερευνούσαν εάν έπρεπε να ληφθούν περαιτέρω προφυλάξεις.
Ωστόσο, η Duolingo δεν εξέτασε το γεγονός ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου περιλαμβάνονταν επίσης στα δεδομένα,
που δεν είναι δημόσια πληροφορία
.
Όπως εντόπισε για πρώτη φορά
VX-Underground
το αποκομμένο σύνολο δεδομένων χρηστών 2,6 εκατομμυρίων κυκλοφόρησε χθες σε μια νέα έκδοση του φόρουμ παραβίασης παραβίασης για 8 πιστώσεις τοποθεσίας, αξίας μόνο 2,13 $.
«Σήμερα ανέβασα το Duolingo Scrape για να το κατεβάσετε, ευχαριστώ που το διαβάσατε και το απολαύσατε!», αναφέρει μια ανάρτηση στο φόρουμ hacking.
Τα δεδομένα απόξεσης του Duolingo διέρρευσαν ουσιαστικά δωρεάν
Πηγή: BleepingComputer
Αυτά τα δεδομένα αποξέστηκαν χρησιμοποιώντας μια εκτεθειμένη διεπαφή προγραμματισμού εφαρμογών (API) που κοινοποιήθηκε ανοιχτά τουλάχιστον από τον Μάρτιο του 2023, με τους ερευνητές να στέλνουν tweet και
δημόσια τεκμηρίωση
πώς να χρησιμοποιήσετε το API.
Το API επιτρέπει σε οποιονδήποτε να υποβάλει ένα όνομα χρήστη και να ανακτήσει την έξοδο JSON που περιέχει τις πληροφορίες του δημόσιου προφίλ του χρήστη. Ωστόσο, είναι επίσης δυνατό να τροφοδοτήσετε μια διεύθυνση email στο API και να επιβεβαιώσετε εάν σχετίζεται με έναν έγκυρο λογαριασμό DuoLingo.
Το BleepingComputer επιβεβαίωσε ότι αυτό το API εξακολουθεί να είναι ανοιχτά διαθέσιμο σε οποιονδήποτε στον ιστό, ακόμη και μετά την αναφορά κατάχρησής του στο DuoLingo τον Ιανουάριο.
Αυτό το API επέτρεψε στο scraper να τροφοδοτήσει στο API εκατομμύρια διευθύνσεις email, που πιθανότατα εκτέθηκαν σε προηγούμενες παραβιάσεις δεδομένων και να επιβεβαιώσει εάν ανήκαν σε λογαριασμούς DuoLingo. Αυτές οι διευθύνσεις email χρησιμοποιήθηκαν στη συνέχεια για τη δημιουργία του συνόλου δεδομένων που περιέχει δημόσιες και μη δημόσιες πληροφορίες.
Ένας άλλος παράγοντας απειλών μοιράστηκε το δικό του scrape API, επισημαίνοντας ότι οι φορείς απειλών που επιθυμούν να χρησιμοποιήσουν τα δεδομένα σε επιθέσεις phishing θα πρέπει να δώσουν προσοχή σε συγκεκριμένα πεδία που υποδεικνύουν ότι ένας χρήστης του DuoLingo έχει περισσότερα δικαιώματα από έναν κανονικό χρήστη και επομένως είναι πιο πολύτιμοι στόχοι.
Το BleepingComputer επικοινώνησε με το DuoLingo με ερωτήσεις σχετικά με το γιατί το API εξακολουθεί να είναι διαθέσιμο στο κοινό, αλλά δεν έλαβε απάντηση τη στιγμή αυτής της δημοσίευσης.
Τα αποκομμένα δεδομένα απορρίπτονται τακτικά
Οι εταιρείες τείνουν να απορρίπτουν τα αποκομμένα δεδομένα ως
πρόβλημα
, καθώς τα περισσότερα από τα δεδομένα είναι ήδη δημόσια, ακόμα κι αν δεν είναι απαραίτητα εύκολο να μεταγλωττιστούν.
Ωστόσο, όταν τα δημόσια δεδομένα αναμιγνύονται με ιδιωτικά δεδομένα, όπως αριθμοί τηλεφώνου και διευθύνσεις email, τείνει να κάνει τις εκτιθέμενες πληροφορίες πιο επικίνδυνες και δυνητικά να παραβιάζει τους νόμους περί προστασίας δεδομένων.
Για παράδειγμα, το 2021, το Facebook υπέστη μαζική διαρροή μετά από κατάχρηση ενός σφάλματος API “Προσθήκη φίλου” για τη σύνδεση αριθμών τηλεφώνου με λογαριασμούς Facebook για 533 εκατομμύρια χρήστες. Η ιρλανδική επιτροπή προστασίας δεδομένων (DPC) επέβαλε αργότερα στο Facebook πρόστιμο 265 εκατομμυρίων ευρώ (275,5 εκατομμύρια δολάρια) για αυτή τη διαρροή δεδομένων απόξεσης.
Πιο πρόσφατα, ένα σφάλμα API του Twitter χρησιμοποιήθηκε για την απόξεση των δημόσιων δεδομένων και των διευθύνσεων ηλεκτρονικού ταχυδρομείου εκατομμυρίων χρηστών, οδηγώντας σε έρευνα από το DPC.
